Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Trojan

Trojan

Aplikasi Google Play Store Berbahaya Terlihat Mendistribusikan Trojan Xenomorph Banking

by

Google telah menghapus dua aplikasi dropper jahat baru yang telah terdeteksi di Play Store untuk Android, salah satunya dianggap sebagai aplikasi gaya hidup dan diketahui mendistribusikan malware perbankan Xenomorph.

“Xenomorph adalah trojan yang mencuri kredensial dari aplikasi perbankan di perangkat pengguna,” kata peneliti Zscaler ThreatLabz Himanshu Sharma dan Viral Gandhi dalam analisis yang diterbitkan Kamis.

dua aplikasi malicious/berbahaya adalah sebagai berikut

  • Todo: Day manager (com.todo.daymanager)
  • 経費キーパー (com.setprice.expenses)

Xenomorph, pertama kali didokumentasikan oleh ThreatFabric awal Februari ini, diketahui menyalahgunakan izin aksesibilitas Android untuk melakukan serangan overlay, di mana layar login palsu ditampilkan di atas aplikasi bank yang sah untuk mencuri kredensial korban.

Terlebih lagi, malware memanfaatkan deskripsi saluran Telegram untuk memecahkan kode dan membangun domain command-and-control (C2) yang digunakan untuk menerima perintah tambahan.

Perkembangan tersebut mengikuti penemuan empat aplikasi jahat di Google Play yang ditemukan mengarahkan korban ke situs web jahat sebagai bagian dari kampanye pencurian informasi dan adware. Google mengatakan kepada The Hacker News bahwa sejak itu mereka telah melarang pengembang.

sumber : the hacker news

Ekstensi berbahaya memungkinkan penyerang mengontrol Google Chrome dari jarak jauh

by

Botnet browser Cloud9 secara efektif merupakan trojan akses jarak jauh (RAT) untuk browser web Chromium, termasuk Google Chrome dan Microsoft Edge, yang memungkinkan pelaku ancaman untuk mengeksekusi perintah dari jarak jauh.

Ekstensi Chrome berbahaya diedarkan melalui saluran alternatif, seperti situs web yang mendorong pembaruan Adobe Flash Player palsu.

Ekstensi browser berbahaya di Chrome (Zimperium)

Menginfeksi browser Anda
Cloud9 adalah ekstensi browser berbahaya yang membuka pintu belakang browser Chromium untuk melakukan daftar ekstensif fungsi dan kemampuan berbahaya.

Ekstensi terdiri dari tiga file JavaScript untuk mengumpulkan informasi sistem, menambang cryptocurrency menggunakan sumber daya host, melakukan serangan DDoS, dan menyuntikkan skrip yang menjalankan eksploitasi browser.

Zimperium memperhatikan pemuatan eksploit untuk kerentanan CVE-2019-11708 dan CVE-2019-9810 di Firefox, CVE-2014-6332 dan CVE-2016-0189 untuk Internet Explorer, dan CVE-2016-7200 untuk Edge.

Kerentanan ini digunakan untuk menginstal dan mengeksekusi malware Windows secara otomatis di host, memungkinkan penyerang untuk melakukan kompromi sistem yang lebih signifikan.

Modul “clipper” juga hadir dalam ekstensi, terus memantau clipboard sistem untuk kata sandi atau kartu kredit yang disalin.


Komponen clipper Cloud9 (Zimperium)

Cloud9 juga dapat menyuntikkan iklan dengan memuat halaman web secara diam-diam untuk menghasilkan tayangan iklan dan, dengan demikian, pendapatan bagi operatornya.

Terakhir, malware dapat meminta daya tembak host untuk melakukan serangan DDoS layer 7 melalui permintaan HTTP POST ke domain target.

Operator dan target
Peretas di balik Cloud9 diyakini memiliki hubungan dengan grup malware Keksec karena domain C2 yang digunakan dalam kampanye baru-baru ini terlihat dalam serangan Keksec sebelumnya.

Keksec bertanggung jawab untuk mengembangkan dan menjalankan beberapa proyek botnet, termasuk EnemyBot, Tsunamy, Gafgyt, DarkHTTP, DarkIRC, dan Necro.

Korban Cloud9 tersebar di seluruh dunia, dan tangkapan layar yang diposting oleh aktor ancaman di forum menunjukkan bahwa mereka menargetkan berbagai browser.

sumber : bleeping computer

Aplikasi Android WhatsApp tidak resmi tertangkap mencuri akun pengguna

by

Versi baru dari aplikasi WhatsApp Android tidak resmi bernama ‘YoWhatsApp’ telah ditemukan mencuri kunci akses untuk akun pengguna.

YoWhatsApp adalah aplikasi messenger yang berfungsi penuh yang menggunakan izin yang sama dengan aplikasi WhatsApp standar dan dipromosikan melalui iklan di aplikasi Android populer seperti Snaptube dan Vidmate. YoWhatsApp memiliki kemampuan untuk menyesuaikan antarmuka atau memblokir akses ke obrolan, sehingga menarik bagi pengguna untuk menginstal.

Namun, kini telah ditemukan bahwa YoWhatsApp v2.22.11.75 mengambil kunci WhatsApp, memungkinkan pelaku ancaman untuk mengontrol akun pengguna.

Kampanye YoWhatsApp ditemukan oleh analis ancaman di Kaspersky, yang telah menyelidiki kasus Trojan Triada yang bersembunyi di dalam versi WhatsApp yang dimodifikasi sejak tahun lalu.

Menurut sebuah laporan yang diterbitkan hari ini, aplikasi modded mengirimkan kunci akses WhatsApp pengguna ke server jarak jauh pengembang.

Meskipun Kaspersky belum menyatakan apakah kunci akses yang dicuri ini telah disalahgunakan, mereka dapat menyebabkan pengambilalihan akun, pengungkapan komunikasi sensitif dengan kontak pribadi, dan peniruan identitas untuk menutup kontak.

Seperti aplikasi WhatsApp Android yang sebenarnya, aplikasi jahat tersebut meminta izin, seperti mengakses SMS, yang juga diberikan kepada Triada Trojan yang tertanam di aplikasi tersebut.

Kaspersky mengatakan trojan dapat menyalahgunakan izin ini untuk mendaftarkan korban ke langganan premium tanpa mereka sadari dan menghasilkan pendapatan bagi distributor.

YoWhatsApp yang dimodifikasi dipromosikan melalui iklan di Snaptube, pengunduh video yang sangat populer yang telah mengalami malvertising di masa lalu.

Iklan yang mempromosikan versi YoWhatsApp berbahaya (Kaspersky)

Kaspersky telah memberi tahu Snaptube tentang penjahat dunia maya yang mendorong aplikasi jahat melalui platform iklannya, sehingga saluran distribusi ini harus segera ditutup.

Aplikasi berbahaya ini menawarkan fitur tambahan seperti antarmuka yang dapat disesuaikan, blok ruang obrolan individual, dan hal-hal lain yang tidak tersedia di klien WhatsApp tetapi banyak orang ingin memilikinya.

Kaspersky juga menemukan klon YoWhatsApp bernama “WhatsApp Plus,” yang menampilkan fungsi berbahaya yang sama, menyebar melalui aplikasi VidMate, mungkin tanpa diketahui oleh pembuatnya.

Aplikasi WhatsApp Plus sama dengan YoWhatsApp
(Kaspersky)

Dalam hal ini, aplikasi yang mempromosikan versi WhatsApp berbahaya hanya dapat diunduh dalam bentuk APK di luar Google Play Store, yang juga merupakan praktik yang harus dihindari.

Triada dapat menggunakan kunci ini untuk mengirim spam berbahaya sebagai akun curian, memanfaatkan orang-orang yang mempercayai lingkaran kecil teman dan keluarga mereka.

Oleh karena itu, berhati-hatilah terhadap pesan langsung dari kontak yang mempromosikan perangkat lunak atau meminta Anda untuk mengklik tautan yang tidak biasa.

Sumber: Bleeping Computer

Laporan Bitdefender mengidentifikasi Nama Domain dan Trojan Android teratas

by

Pada bulan Juli, Bitdefender mengidentifikasi 205 keluarga ransomware sebagai bagian dari Debrief Ancaman Bitdefender Agustus perusahaan.

Bitdefender’s August Bitdefender Threat Debrief (BDTD) adalah seri bulanan yang bertujuan untuk menganalisis berita ancaman, tren, dan penelitian dari bulan sebelumnya. Pada bulan Juli, peneliti Bitdefender melihat deteksi ransomware, bukan infeksi, dan menghitung total kasus, bukan seberapa signifikan dampak infeksi secara moneter.

Ransomware

Analis Bitdefender mengidentifikasi 205 kelompok ransomware pada bulan Juli, dengan jumlah kelompok ransomware yang terdeteksi bervariasi setiap bulan tergantung pada kampanye ransomware saat ini di berbagai negara. WannaCry adalah keluarga ransomware yang paling banyak terdeteksi, terhitung 37 persen. Robin berada di urutan kedua dengan 20 persen.

Para analis mendeteksi ransomware dari 151 negara dalam kumpulan datanya bulan ini karena ransomware terus menjadi ancaman yang menyentuh hampir seluruh dunia. Banyak serangan ransomware terus menjadi oportunistik, dan ukuran populasi berkorelasi dengan jumlah deteksi. Amerika Serikat adalah yang paling terkena dampak ransomware, terhitung 24 persen, diikuti oleh Brasil 17 persen dan India 14 persen.

Trojan Android

Perusahaan solusi keamanan siber global juga menganalisis 10 Trojan teratas yang menargetkan Android yang telah dilihat perusahaan dalam telemetrinya selama bulan Juli.

Downloader.DN, aplikasi yang dikemas ulang yang diambil dari Google app store dan dibundel dengan adware agresif, adalah Trojan terbesar yang menargetkan Android sebesar 43 persen. Berikutnya adalah malware SMSSend.AYE (33 persen) yang mencoba mendaftar sebagai aplikasi SMS default saat pertama kali dijalankan dengan meminta persetujuan pengguna.

Sumber: Cybersecurity Connect

Peretas di Balik Serangan Ransomware Kuba Menggunakan Malware RAT Baru

by

Pelaku ancaman yang terkait dengan ransomware Kuba telah dikaitkan dengan taktik, teknik, dan prosedur (TTP) yang sebelumnya tidak terdokumentasi, termasuk trojan akses jarak jauh baru yang disebut ROMCOM RAT pada sistem yang disusupi.

Temuan baru datang dari tim intelijen ancaman Unit 42 Palo Alto Networks, yang melacak kelompok ransomware pemerasan ganda di bawah moniker bertema konstelasi Tropical Scorpius.

Cuba ransomware (alias COLDDRAW), yang pertama kali terdeteksi pada Desember 2019, muncul kembali di lanskap ancaman pada November 2021 dan telah dikaitkan dengan serangan terhadap 60 entitas di lima sektor infrastruktur penting, mengumpulkan setidaknya $ 43,9 juta dalam pembayaran tebusan.

Dari 60 korban yang terdaftar di situs kebocoran datanya, 40 berada di AS, menunjukkan distribusi global organisasi yang ditargetkan tidak seperti geng ransomware lainnya.

“Ransomware Kuba didistribusikan melalui malware Hancitor, pemuat yang dikenal menjatuhkan atau mengeksekusi pencuri, seperti Remote Access Trojans (RAT) dan jenis ransomware lainnya, ke jaringan korban,” menurut peringatan Desember 2021 dari Biro Federal AS. Investigasi (FBI).

“Aktor malware Hancitor menggunakan email phishing, kerentanan Microsoft Exchange, kredensial yang disusupi, atau alat Remote Desktop Protocol (RDP) yang sah untuk mendapatkan akses awal ke jaringan korban.”

Dalam bulan-bulan berikutnya, operasi ransomware menerima peningkatan substansial dengan tujuan untuk “mengoptimalkan pelaksanaannya, meminimalkan perilaku sistem yang tidak diinginkan, dan memberikan dukungan teknis kepada korban ransomware jika mereka memilih untuk bernegosiasi,” kata Trend Micro pada bulan Juni.

Perubahan utama meliputi penghentian lebih banyak proses sebelum enkripsi (yaitu Microsoft Outlook, Exchange, dan MySQL), memperluas jenis file yang akan dikecualikan, dan revisi catatan tebusan untuk menawarkan dukungan korban melalui quTox.

Tropical Scorpius juga diyakini berbagi koneksi dengan pasar pemerasan data yang disebut Industrial Spy, seperti yang dilaporkan oleh Bleeping Computer pada Mei 2022, dengan data yang dieksfiltrasi menyusul serangan ransomware Kuba yang diposting untuk dijual di portal terlarang alih-alih situs kebocoran datanya sendiri.

Pembaruan terbaru yang diamati oleh Unit 42 pada Mei 2022 berkaitan dengan taktik penghindaran pertahanan yang digunakan sebelum penyebaran ransomware untuk terbang di bawah radar dan bergerak secara lateral melintasi lingkungan TI yang disusupi.

Tropical Scorpius memanfaatkan penetes yang menulis driver kernel ke sistem file yang disebut ApcHelper.sys,” kata perusahaan itu. “Ini menargetkan dan menghentikan produk keamanan. Dropper tidak ditandatangani, namun driver kernel ditandatangani menggunakan sertifikat yang ditemukan di kebocoran LAPSUS$ NVIDIA.”

Tugas utama driver kernel adalah untuk menghentikan proses yang terkait dengan produk keamanan untuk menghindari deteksi. Juga tergabung dalam rantai serangan adalah alat eskalasi hak istimewa lokal yang diunduh dari server jauh untuk mendapatkan izin SISTEM.

Ini, pada gilirannya, dicapai dengan memicu eksploitasi untuk CVE-2022-24521 (skor CVSS: 7.8), sebuah cacat pada Sistem File Log Umum Windows (CLFS) yang ditambal oleh Microsoft sebagai cacat nol hari pada April 2022 .

Langkah eskalasi hak istimewa diikuti dengan melakukan pengintaian sistem dan aktivitas gerakan lateral melalui alat seperti ADFind dan Net Scan, sementara juga menggunakan utilitas ZeroLogon yang mengeksploitasi CVE-2020-1472 untuk mendapatkan hak administrator domain.

Lebih lanjut, penyusupan tersebut membuka jalan bagi penyebaran pintu belakang baru yang disebut ROMCOM RAT, yang dilengkapi untuk memulai shell terbalik, menghapus file arbitrer, mengunggah data ke server jauh, dan memanen daftar proses yang sedang berjalan.

Trojan akses jarak jauh, per Unit 42, dikatakan sedang dalam pengembangan aktif, ketika perusahaan keamanan siber menemukan sampel kedua yang diunggah ke database VirusTotal pada 20 Juni 2022.

Varian yang ditingkatkan hadir dengan dukungan untuk serangkaian 22 perintah yang diperluas, menghitung kemampuan untuk mengunduh muatan yang dipesan lebih dahulu untuk menangkap tangkapan layar serta mengekstrak daftar semua aplikasi yang diinstal untuk dikirim kembali ke server jarak jauh.

“Scorpius tropis tetap menjadi ancaman aktif,” kata para peneliti. “Aktivitas grup memperjelas bahwa pendekatan untuk tradecraft menggunakan hibrida dari alat yang lebih bernuansa yang berfokus pada internal Windows tingkat rendah untuk penghindaran pertahanan dan eskalasi hak istimewa lokal bisa sangat efektif selama intrusi.

Temuan ini muncul saat kelompok ransomware yang muncul seperti Stormous, Vice Society, Luna, SolidBit, dan BlueSky terus berkembang biak dan berkembang di ekosistem kejahatan dunia maya, pada saat yang sama menggunakan teknik enkripsi dan mekanisme pengiriman canggih.

Sumber: The Hacker News

Malware Android ‘Revive’ meniru aplikasi 2FA bank BBVA

by

Malware perbankan Android baru bernama Revive telah ditemukan yang meniru aplikasi 2FA yang diperlukan untuk masuk ke rekening bank BBVA di Spanyol.

Trojan perbankan baru mengikuti pendekatan yang lebih terfokus yang menargetkan bank BBVA alih-alih mencoba berkompromi dengan pelanggan dari berbagai lembaga keuangan.

Sementara Revive berada dalam fase pengembangan awal, Revive sudah mampu melakukan fungsi lanjutan seperti mencegat kode otentikasi dua faktor (2FA) dan kata sandi satu kali.

Para peneliti di Cleafy menemukan Revive dan menamakannya berdasarkan fungsi dengan nama yang sama yang digunakan oleh malware untuk memulai ulang dirinya sendiri jika dihentikan.

Menurut analis Cleafy, malware baru menargetkan calon korban melalui serangan phishing, meyakinkan mereka untuk mengunduh aplikasi yang seharusnya merupakan alat 2FA yang diperlukan untuk meningkatkan keamanan rekening bank.

Serangan phishing ini mengklaim fungsionalitas 2FA yang disematkan ke dalam aplikasi bank yang sebenarnya tidak lagi memenuhi persyaratan tingkat keamanan, sehingga pengguna perlu menginstal alat tambahan ini untuk meningkatkan keamanan perbankan mereka.

Pesan phishing dikirim ke nasabah bank (Cleafy)

Aplikasi ini di-host di situs web khusus yang menampilkan tampilan profesional dan bahkan memiliki tutorial video untuk memandu korban melalui proses pengunduhan dan pemasangannya.

Setelah instalasi, Revive meminta izin untuk menggunakan Layanan Aksesibilitas, yang pada dasarnya memberikan kontrol penuh atas layar dan kemampuan untuk melakukan ketukan layar dan tindakan navigasi.

Izin diminta saat instalasi (Cleafy)

Saat pengguna meluncurkan aplikasi untuk pertama kalinya, mereka diminta untuk memberikan akses ke SMS dan panggilan telepon, yang mungkin tampak normal untuk utilitas 2FA.

Setelah itu, Revive terus berjalan di latar belakang sebagai keylogger sederhana, merekam semua yang diketik pengguna di perangkat dan mengirimkannya secara berkala ke C2.

Melakukannya akan mengirimkan kredensial ke C2 pelaku ancaman, dan kemudian beranda umum dengan tautan ke situs web sebenarnya dari bank yang ditargetkan akan dimuat.

Proses mencuri kredensial pengguna (Cleafy)

Setelah itu, Revive terus berjalan di latar belakang sebagai keylogger sederhana, merekam semua yang diketik pengguna di perangkat dan mengirimkannya secara berkala ke C2.

Berdasarkan analisis kode malware baru Cleafy, tampaknya pembuatnya terinspirasi oleh Teradroid, spyware Android yang kodenya tersedia untuk umum di GitHub.

Perbandingan kode antara dua malware (Cleafy)

Keduanya memiliki kesamaan yang luas dalam API, kerangka kerja web, dan fungsi. Revive menggunakan panel kontrol khusus untuk mengumpulkan kredensial dan mencegat pesan SMS.

Hasilnya adalah aplikasi yang hampir tidak terdeteksi oleh vendor keamanan mana pun. Misalnya, pengujian Cleafy pada VirusTotal mengembalikan empat deteksi pada satu sampel dan tidak satu pun pada varian berikutnya.

Sumber: Bleeping Computer

Peretas Cina menargetkan skrip kiddies dengan trojan pencuri info

by

Peneliti keamanan siber telah menemukan kampanye baru yang dikaitkan dengan kelompok peretasan “Tropic Trooper” China, yang menggunakan pemuat baru bernama Nimbda dan varian baru trojan Yahoyah.

Trojan dibundel dalam alat greyware bernama ‘SMS Bomber,’ yang digunakan untuk serangan penolakan layanan (DoS) terhadap ponsel, membanjiri mereka dengan pesan. Alat seperti ini biasanya digunakan oleh pelaku ancaman “pemula” yang ingin melancarkan serangan terhadap situs.

Menurut sebuah laporan oleh Check Point, pelaku ancaman juga menunjukkan pengetahuan kriptografi yang mendalam, memperluas spesifikasi AES dalam implementasi khusus.

Infeksi dimulai dengan mengunduh versi berbahaya dari SMS Bomber, yang berisi fungsi biner dan standar alat. Namun, unduhan telah dimodifikasi untuk menyertakan kode tambahan yang dimasukkan ke dalam proses notepad.exe.

Eksekusi yang diunduh sebenarnya adalah pemuat ‘Nimbda’, yang menggunakan ikon SMS Bomber, dan berisi SMS Bomber sebagai executable yang disematkan.

Alat GUI Bomber SMS (Titik Periksa)

Di latar belakang, loader menyuntikkan shellcode ke dalam proses notepad untuk mencapai repositori GitHub, mengambil executable yang dikaburkan, mendekodekannya, dan kemudian menjalankannya melalui proses lekukan di ‘dllhost.exe.’

Payload ini adalah varian Yahoyah baru, yang mengumpulkan data tentang host dan mengirimkannya ke server C2.

Payload terakhir, dijatuhkan oleh executable Yahoyah, dikodekan dalam gambar JPG menggunakan steganografi. Check Point mengidentifikasinya sebagai ‘TClient’, Trooper Tropic pintu belakang yang digunakan dalam kampanye sebelumnya.

Rantai infeksi lengkap (Check Point)

Enkripsi yang digunakan untuk membungkus Yahoyah adalah implementasi kustom dari AES, yang melakukan urutan terbalik dari operasi putaran dua kali; maka Check Point menamakannya AEES.

Cuplikan kode AES yang aneh
(Titik Cek)

Ini tidak membuat enkripsi menjadi lebih kuat tetapi membuat analisis sampel menjadi sangat sulit, membuat para peneliti yang tidak memiliki tekad yang kuat atau membuat pekerjaan mereka jauh lebih membosankan.

Tropic Trooper adalah aktor ancaman canggih yang berfokus pada spionase, yang sebelumnya terlihat menjalankan kampanye phishing terhadap pejabat Rusia.

Trojanizing ‘SMS Bomb’ menunjukkan tepat, penargetan sempit, sehingga kemungkinan keputusan berdasarkan intelijen yang dikumpulkan selama spionase sebelumnya.

Meskipun cakupan penargetan yang tepat tidak diketahui, kampanye ini menunjukkan kemampuan Tropic Trooper untuk membuat umpan apa pun yang diperlukan untuk operasi, pengetahuan kriptografi, dan aktivitas pengembangan malware mereka.

Sumber: Bleeping Computer

Malware perbankan Android MaliBot baru menyebar sebagai penambang kripto

by

Peneliti keamanan siber telah menemukan malware perbankan Android baru bernama MaliBot, yang menyamar sebagai aplikasi penambangan cryptocurrency atau browser web Chrome untuk menargetkan pengguna di Italia dan Spanyol.

MaliBot berfokus pada mencuri informasi keuangan seperti kredensial layanan e-banking, kata sandi dompet kripto, dan detail pribadi, sementara itu juga mampu mengambil kode otentikasi dua faktor dari notifikasi.

Menurut sebuah laporan oleh F5 Labs, yang analisnya menemukan malware baru, saat ini menggunakan beberapa saluran distribusi, kemungkinan bertujuan untuk menutupi celah pasar yang diciptakan oleh penghentian tiba-tiba operasi FluBot.

Server komando dan kontrol Malibot berbasis di Rusia, dan IP-nya telah dikaitkan dengan beberapa kampanye distribusi malware sejak Juni 2020.

Distribusi MaliBot terjadi melalui situs web yang mempromosikan aplikasi cryptocurrency dalam bentuk APK yang diunduh dan diinstal secara manual oleh korban.

Dalam kampanye lain, malware didorong sebagai aplikasi bernama Mining X, dan para korban ditipu untuk memindai kode QR untuk mengunduh file APK berbahaya.

Situs web Mining X yang mendorong MaliBot

Operator MaliBot juga menggunakan pesan smishing (SMS phishing) untuk mendistribusikan muatan mereka ke daftar nomor telepon yang ditentukan oleh C2. Pesan-pesan ini dikirim dari perangkat yang disusupi yang menyalahgunakan izin “kirim SMS”.

MaliBot adalah trojan Android kuat yang mengamankan aksesibilitas dan izin peluncur saat penginstalan dan kemudian memberikan dirinya sendiri hak tambahan pada perangkat.

Itu dapat mencegat pemberitahuan, SMS, dan panggilan, menangkap tangkapan layar, mendaftarkan aktivitas boot, dan memberikan kemampuan kendali jarak jauh kepada operatornya melalui sistem VNC.

VNC memungkinkan operator untuk menavigasi antar layar, menggulir, mengambil tangkapan layar, menyalin dan menempelkan konten, menggesek, melakukan penekanan lama, dan banyak lagi.

Untuk melewati perlindungan MFA, ia menyalahgunakan API Aksesibilitas untuk mengklik konfirmasi konfirmasi pada peringatan masuk tentang upaya login yang mencurigakan, mengirimkan OTP ke C2, dan mengisinya secara otomatis.

Kode untuk mengambil kode MFA (F5 Labs)

Selain itu, malware dapat mencuri kode MFA dari Google Authenticator dan melakukan tindakan ini sesuai permintaan, membuka aplikasi autentikasi secara independen dari pengguna.

Seperti kebanyakan trojan perbankan, MaliBot mengambil daftar aplikasi yang diinstal untuk menentukan aplikasi bank mana yang digunakan oleh korban untuk mengambil overlay/injeksi yang cocok dari C2. Ketika korban membuka aplikasi yang sah, layar login palsu dihamparkan di atas UI.

Mengirim daftar overlay ke C2 dan menerima injeksi kembali (F5 Labs)

Analis F5 Labs telah melihat fitur yang tidak diterapkan dalam kode MaliBot, seperti deteksi lingkungan yang ditiru yang dapat digunakan untuk menghindari analisis.

Ini adalah tanda bahwa pengembangannya sangat aktif, dan versi baru MaliBot diharapkan segera beredar, mungkin meningkatkan potensi malware baru.

Untuk saat ini, MaliBot memuat overlay yang menargetkan bank Italia dan Spanyol, tetapi dapat segera memperluas cakupannya dengan menambahkan lebih banyak suntikan, seperti yang dilakukan FluBot secara bertahap.

Hamparan bank Spanyol digunakan oleh MaliBot (F5 Labs)

Pada saat penulisan ini, situs web yang mendistribusikan MaliBot tetap online, sehingga operasi distribusi malware masih cukup aktif.